информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Где водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Столлман возвращается в FSF 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Снова PHP. Два вопроса по загрузке файлов на сервер. 28.02.11 02:09  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Два вопроса.
1. Как лучше проверить грузят ли мне на сервер zip-архив или что-то другое? Только $_FILES["miles"]["type"] не предлагайте, туда можно засандалить любую фигню )
2. Опять наткнулся в сети на интересный момент:
"при проверке getimagesize() в изображение можно "вклеить" шелл-код, и при этой проверке файл определится как изображение, а выполится как php, но это всё вкраце и размыто..." На этом разговор оборвался.
Это что, такая дырищща в php живет? Если да, то как с ней бороться?
Найти описание заголовка ZIP архива и написать разбор... 28.02.11 11:29  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Два вопроса.
> 1. Как лучше проверить грузят ли мне на сервер zip-архив
> или что-то другое? Только $_FILES["miles"]["type"] не
> предлагайте, туда можно засандалить любую фигню )

Найти описание заголовка ZIP архива и написать разбор заголовка получаемого файла.

> 2. Опять наткнулся в сети на интересный момент:
> "при проверке getimagesize() в изображение можно "вклеить"
> шелл-код, и при этой проверке файл определится как
> изображение, а выполится как php, но это всё вкраце и
> размыто..." На этом разговор оборвался.
> Это что, такая дырищща в php живет? Если да, то как с ней
> бороться?

Из твоих слов не понятно откуда у этой информации ноги растут. Дай ссылку на описание эксплойта.
А вдруг сигнатуру подделают? :) 28.02.11 14:52  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка> <обсуждение закрыто>
> Найти описание заголовка ZIP архива и написать разбор
> заголовка получаемого файла.

А вдруг сигнатуру подделают? :)

Есть готовая, но устаревшая - http://ru.php.net/mime_content_type
Там же в тексте ссылка на замену.
Нет, mime не катит, он как раз в $_files["miles"]["type"] и... 28.02.11 17:06  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> > Найти описание заголовка ZIP архива и написать разбор
> > заголовка получаемого файла.
>
> А вдруг сигнатуру подделают? :)
>
> Есть готовая, но устаревшая -
> http://ru.php.net/mime_content_type
> Там же в тексте ссылка на замену.
Нет, MIME не катит, он как раз в $_FILES["miles"]["type"] и лежит.
значит будет битый архив и не более того. 28.02.11 15:15  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> А вдруг сигнатуру подделают? :)

значит будет битый архив и не более того.

> Есть готовая, но устаревшая -
> http://ru.php.net/mime_content_type
> Там же в тексте ссылка на замену.

Это совсем из другой оперы. MIME для того, чтобы браузер быстро разобрался, что он скачивает, а не выводил бинарник на экран ASCII кодом.
Да? А как же рарджпег? 01.03.11 14:20  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка> <обсуждение закрыто>
Честно? Не понял вопроса ) 01.03.11 17:49  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
http://lurkmore.ru/Rarjpeg 01.03.11 18:06  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка> <обсуждение закрыто>
Ога. Все равно не понял какое это имеет отношение к подделке MIME-type в запросе... 01.03.11 19:02  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Кажется, тема поднялась после вопроса-ответа: 02.03.11 04:38  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Кажется, тема поднялась после вопроса-ответа:
>Как лучше проверить грузят ли мне на сервер zip-архив или что-то другое?
>А вдруг сигнатуру подделают? :)
>значит будет битый архив и не более того.
здесь den сделал допущение, ибо тот же линуксовый file на раржпг лажанётся, не говоря уж о php.

Я тривиальных решений не вижу, вот по этому и посмотрю за развитием темы.
нетривиальное, но опасное с точки зрения dos (надо оценивать свои силы, грубо говоря) - перепаковка архивов.
идеальных решений нет, разве что стоит задуматься... А стоит ли париться? ) Быть может ты сможешь организовать раздачу этого даже псевдо-зипа безопасно для клиентов?

Возможный косяк на стороне сервера - include-инъекции, либо xss. и то и другое в нормальном коде просто невозможны )
Да есть тривиальные решения, есть. Достаточно просто не... 02.03.11 09:26  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка> <обсуждение закрыто>
> Я тривиальных решений не вижу, вот по этому и посмотрю за
> развитием темы.
> нетривиальное, но опасное с точки зрения dos (надо
> оценивать свои силы, грубо говоря) - перепаковка архивов.
> идеальных решений нет, разве что стоит задуматься... А
> стоит ли париться? ) Быть может ты сможешь организовать
> раздачу этого даже псевдо-зипа безопасно для клиентов?
>
> Возможный косяк на стороне сервера - include-инъекции, либо
> xss. и то и другое в нормальном коде просто невозможны )

Да есть тривиальные решения, есть. Достаточно просто не пытаться исполнять картинки как пхп-/перл-/что-то ещё код. Данные это данные, а код - это код.
Да меня другое беспокоит. Во-первых, место на сервере... 02.03.11 12:22  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> > Я тривиальных решений не вижу, вот по этому и посмотрю
> за
> > развитием темы.
> > нетривиальное, но опасное с точки зрения dos (надо
> > оценивать свои силы, грубо говоря) - перепаковка
> архивов.
> > идеальных решений нет, разве что стоит задуматься... А
> > стоит ли париться? ) Быть может ты сможешь
> организовать
> > раздачу этого даже псевдо-зипа безопасно для клиентов?
> >
> > Возможный косяк на стороне сервера - include-инъекции,
> либо
> > xss. и то и другое в нормальном коде просто невозможны
> )
>
> Да есть тривиальные решения, есть. Достаточно просто не
> пытаться исполнять картинки как пхп-/перл-/что-то ещё код.
> Данные это данные, а код - это код.
Да меня другое беспокоит. Во-первых, место на сервере ограниченно, а туда нужно положить несколько тысяч файлов, во-вторых, как следствие, файлы должны быть заархивированы и, в-третьих, это обязательно должен быть zip-архив, т.к. отдача будет производится таким людям, у которых может не быть архиватора вообще. А сами архивы будут только загружаться, храниться и отдаваться без обработки. Хотя, черт пхп знает, прямых ссылок не будет, отдача будет идти через скрипт.
А если так? два простейших теста - попытаться открыть архив и проверить, что файл начинается с сигнатуры PK. (zip_open, fread) 02.03.11 13:50  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 02.03.11 20:09  Количество правок: 2
<"чистая" ссылка> <обсуждение закрыто>
Да, наверное это самый оптимальный вариант. 02.03.11 16:52  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Не совсем понятно, что будет делать с "истинным" zip-архивом... 10.03.11 10:26  
Автор: lazy_anty Статус: Member
<"чистая" ссылка> <обсуждение закрыто>
Не совсем понятно, что будет делать с "истинным" zip-архивом клиент, у которого в системе нет архиватора, ну да ладно...
Но "истинным" zip-архивом также может быть и self-extract (т.е. ), переименованный в .zip . Какой при этом будет указан mime type, зависит только от добросовестности закачивающего.
Элементарно, Ватсон ) Клиенты под виндой сидят, а она... 10.03.11 10:50  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Не совсем понятно, что будет делать с "истинным"
> zip-архивом клиент, у которого в системе нет архиватора, ну
Элементарно, Ватсон ) Клиенты под виндой сидят, а она zip-архив как папку отображает.
> да ладно...
> Но "истинным" zip-архивом также может быть и self-extract
> (т.е. ), переименованный в .zip . Какой при этом будет
> указан mime type, зависит только от добросовестности
> закачивающего.
Блин, это уже столько раз было сказано, что уже даже и не смешно.
в принципе верно ) 02.03.11 10:55  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
я б даже назвал как jpg-arc, ибо тип архивов может быть практически любым ) 01.03.11 18:56  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Это понятно, но лениво ) Думал, что может что-то готовое... 28.02.11 12:17  
Автор: Fighter <Vladimir> Статус: Elderman
Отредактировано 28.02.11 12:18  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
> > Два вопроса.
> > 1. Как лучше проверить грузят ли мне на сервер
> zip-архив
> > или что-то другое? Только $_FILES["miles"]["type"] не
> > предлагайте, туда можно засандалить любую фигню )
>
> Найти описание заголовка ZIP архива и написать разбор
> заголовка получаемого файла.
Это понятно, но лениво ) Думал, что может что-то готовое/стандартное есть)
>
> > 2. Опять наткнулся в сети на интересный момент:
> > "при проверке getimagesize() в изображение можно
> "вклеить"
> > шелл-код, и при этой проверке файл определится как
> > изображение, а выполится как php, но это всё вкраце и
> > размыто..." На этом разговор оборвался.
> > Это что, такая дырищща в php живет? Если да, то как с
> ней
> > бороться?
>
> Из твоих слов не понятно откуда у этой информации ноги
> растут. Дай ссылку на описание эксплойта.
Это была ветка на каком-то форуме про то, как проверить что грузят, изображение или что-то другое. Все, что там было про "эксплойт", я скопипастил. Ссылку не сохранил. Если бы там было понятно откуда взялась такая информация, то я бы здесь не спрашивал.
Тебе в помощь: 28.02.11 14:23  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Это понятно, но лениво ) Думал, что может что-то
> готовое/стандартное есть)

Тебе в помощь:
ftp://ftp.info-zip.org/pub/infozip/src/
http://www.win-rar.ru/support/knowledge/detail.php?ID=1081
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach